Descoberta e escopo da ameaça
Uma vulnerabilidade crítica de elevação de privilégios no Windows, apelidada de "MiniPlasma", emergiu com um exploit de prova de conceito (PoC) público que permite que atacantes obtenham privilégios de nível SYSTEM em sistemas Windows totalmente atualizados. O pesquisador de segurança Nightmare-Eclipse lançou o exploit armado no GitHub em 13 de maio de 2026, alegando que a Microsoft falhou em corrigir ou reverteu silenciosamente a correção para uma vulnerabilidade relatada originalmente há seis anos.
A falha visa a rotina HsmOsBlockPlaceholderAccess do driver de filtro de nuvem cldflt.sys, que foi inicialmente descoberta e relatada à Microsoft pelo pesquisador James Forshaw do Google Project Zero em setembro de 2020. A Microsoft atribuiu o CVE-2020-17103 à vulnerabilidade e supostamente a corrigiu em dezembro de 2020 como parte de suas atualizações de Patch Tuesday.
Análise técnica detalhada
No entanto, o Nightmare-Eclipse descobriu que o mesmo problema documentado no relatório original do Forshaw permanece explorável sem nenhuma modificação no código de prova de conceito original. A vulnerabilidade permite que usuários não privilegiados criem chaves de registro arbitrárias no hive .DEFAULT do usuário sem verificações adequadas de acesso.
De acordo com o Google Project Zero, a falha reside na maneira como a função HsmOsBlockPlaceholderAccess lida com a criação de chaves de registro, falhando em especificar a flag OBJ_FORCE_ACCESS_CHECK. Isso permite que atacantes contornem as restrições de acesso normais e escrevam chaves no hive .DEFAULT do usuário, mesmo que usuários padrão normalmente não tenham tais permissões.
O exploit arma esse comportamento explorando uma condição de corrida que alterna entre tokens de usuário e anônimos para manipular a função RtlOpenCurrentUser no kernel. Quando a condição de corrida tem sucesso, o sistema abre o hive .DEFAULT para gravação enquanto a impersonação de thread é revertida, permitindo a criação não autorizada de chaves.
Impacto e alcance
O exploit de prova de conceito do Nightmare-Eclipse, publicado no GitHub, demonstra exploração confiável em sistemas de vários núcleos, gerando um shell SYSTEM após vencer a condição de corrida com sucesso. A vulnerabilidade afeta todas as versões do Windows, tornando-se uma ameaça significativa para ambientes empresariais, estações de trabalho e sistemas sincronizados com nuvem.
Os testes confirmaram que a execução do exploit de uma conta de usuário padrão abre com sucesso um prompt de comando com privilégios SYSTEM, concedendo aos atacantes controle completo sobre a máquina comprometida. O componente do driver de filtro de nuvem é integrante dos serviços de sincronização de armazenamento em nuvem do Windows como o OneDrive, o que significa que o código vulnerável é executado em uma ampla gama de instalações do Windows.
Medidas de mitigação recomendadas
Organizações devem monitorar a resposta de segurança da Microsoft e se preparar para implantar patches assim que estiverem disponíveis. A disponibilidade pública de código de exploit funcional aumenta significativamente o risco de exploração. A liberação do MiniPlasma um dia após o Patch Tuesday de maio de 2026 da Microsoft timingou a divulgação para seguir o ciclo de patch, deixando as organizações sem uma correção oficial até pelo menos a próxima atualização programada.
O exploit ganhou atenção significativa na comunidade de segurança, com o repositório do GitHub acumulando mais de 390 estrelas em poucos dias após a publicação. Isso indica um interesse elevado e potencial para rápida disseminação de ferramentas de exploração.
Implicações para CISOs
Este incidente reforça a necessidade de monitoramento contínuo de vulnerabilidades antigas que podem ser reativadas ou reexploradas. A falha em corrigir efetivamente uma vulnerabilidade relatada há anos e sua posterior reexploração pública exigem uma revisão dos processos de correção de segurança da Microsoft e das estratégias de defesa em profundidade das organizações.
O que fazer agora
1. Monitorar comunicados oficiais da Microsoft sobre correções para CVE-2020-17103. 2. Implementar controles de restrição de privilégios para limitar acesso de usuários padrão. 3. Auditar logs de sistema em busca de atividades de criação de chaves de registro anômalas. 4. Considerar a aplicação de patches de segurança proativos para mitigar riscos conhecidos. 5. Revisar políticas de atualização para garantir que correções críticas sejam aplicadas rapidamente.